[warwas]

Ei osanud paremini pealkirjastada. Üritan seletada (lihtsustatud näide):


On keskne võrguseade (pfSense), mille taga on 10.122.0.0/24 võrk. Keskse kasti külge tuleb terve ports IPSec torusid. "Õuest" saan üles võtta ka OpenVPN toru, mille kaudu saan LAN'is (ehk 10.122.0.0 võrgus) vabalt ringi kolistada. Eesmärk oleks aga saada ka IPSeci taga olevatesse masinatesse. Mis nippe ma selleks kasutama pean?
OpenVPN'i serveri konf pushib vajalikud ruutingud kliendile ära aga nendest pole kasu.

Tegin katse, kus tegin nö. "keskuse" ja eemal olevate purkide vahele veel teise IPsec toru, mille keskuse poolne ots läks samasse võrku, kuhu OpenVPN tuleb (10.10.11.0/24). Sedasi sain "kännu otsast" ka IPsec'i taga olevasse võrku ligi. Selline topelttorude tegemine oleks aga paras raiskamine. Raudselt peab olema mingi mõistlikum lahendus...

[airm]

kontrollida üle tulemüüri reeglid ja ruutingud ikkagi.
Kontrolli, kas eksisteerib sul ruuting läpakas, kus 10.122.2.0/24 on suunaga openvpn tunneli ots.
samuti peavad 10.122.2.0/24 masinad teadma, kus asub 10.10.11.0/24 võrk

[Angrist]

Sa pead tegema masinatesse ruutingu mis suunab võrgu 10.122.0.0 sinna sinu esimesse ruuterisse, mis iganes tema ip aadress ka võiks olla. Siis pead tegema ruuteris sisemiste interfeisside vahelise ruutingu ja peakski korras olema.

[warwas]

mkay... pean vist asja ikkagi kriitilise pilguga üle käima.

Tulemüüri logist ma vähemalt esimese pilguga midagi kahtlast ei leidnud.
Läpparisse 10.122.2.0/24 võrgu ruuting tuleb (OVPN server saadab selle).
10.122.2.0/24 võrgu masinate poolt tulevad paketid võiksid ka ikkagi sobiva tee leida, kuna nende jaoks on see sama VPN'i purk ka default gateway.

Konks ongi vist selles, et OVPNi ja IPsec'i interfeisside vahel on ruuting vms. puudu. Või pean ka10.122.2.0/24 võrgu ruuterisse ruutingu tegema?

[Angrist]